安全注意事项
适用对象:System Center 2012 R2 Operations Manager, Data Protection Manager for System Center 2012, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
准备 System Center 2012 – Operations Manager 环境的大部分工作都涉及安全相关任务。 本部分大致介绍了这些任务。 有关详细信息,请参阅 Index to Security-related Information for Operations Manager(Operations Manager 的安全相关信息的索引)。
准备安全相关任务涉及以下内容:
了解、计划和准备信任边界中的监视。
了解、计划和准备 UNIX 或 Linux 计算机的监视。
计划和准备需要的服务帐户、用户帐户和安全组。
了解和准备设计需要的网络端口。
信任边界
从 Operations Manager 来看,Active Directory 域构成 Kerberos 信任边界的基本单元。 此边界通过可传递信任自动扩展到相同命名空间中的其他域(相同的 Active Directory 树),以及在处于不同的 Active Directory 树但在相同的 Active Directory 林中的域之间扩展。 信任边界还可通过使用林间信任在不同 Active Directory 林中的域之间进一步扩展。
Kerberos
Kerberos 身份验证协议受 Windows 2000 域控制器以及更高版本的域控制器支持,只在信任边界内出现。 Kerberos 身份验证是用来执行 Operations Manager 代理/服务器相互身份验证的机制。 代理/服务器相互身份验证托管在 Operations Manager 外壳 中以便进行所有代理/服务器通信。
Operations Manager 管理组能够在其本身所处的 Kerberos 信任边界外执行发现和监视操作。 但由于未加入到 Active Directory 域的基于 Windows 的计算机的默认身份验证协议为 NTLM,因此必须使用其他机制来支持相互身份验证。 此操作通过在代理和服务器之间交换证书完成。
证书
Operations Manager 通信需要跨信任边界间出现时,例如,当需要监控的服务器处于与正在执行监视的管理组不同、不受信任的 Active Directory 域中时,可以使用证书来满足相互身份验证的要求。 通过手动配置可以获取证书,并且将证书与计算机以及在其上运行的 Operations Manager 服务关联。 当需要与处在不同计算机上的服务进行通信的服务启动并尝试进行身份验证时,证书将进行交换,相互身份验证将得以完成。
.jpeg "System_CAPS_important"){kind=icon} 重要事项 |
|---|
此用途的证书必须完全信任相同的根证书颁发机构 (CA)。 |
有关如何获取和使用证书进行相互身份验证的详细信息,请参阅部署网关服务器。
证书颁发机构
要获取所需的证书,你需要访问证书颁发机构 (CA)。 该机构可以是 Microsoft 证书服务或第三方认证服务,例如 VeriSign。
Microsoft 证书服务
有四种类型 Microsoft CA:
企业根
企业从属
独立根
独立从属
两种企业类型 CA 都需要 Active Directory 域服务,而独立的 CA 不需要。 任何一种类型 CA 都可以颁发代理/服务器在信任边界中进行相互身份验证所需的证书。
通常,CA 基础结构包含对其自己的证书进行签名并自己进行验证的根 CA,以及由根验证的一个或多个次级 CA。 次级 CA 服务器是服务证书请求的服务器,而根则处于脱机状态并被妥善保管。 有关指定证书的详细信息,请参阅 Infrastructure Planning and Design(基础结构计划和设计)以及 Windows 计算机的身份验证和数据加密。
监视 UNIX 和 Linux 计算机
System Center 2012 – Operations Manager 可以监视 UNIX 和 Linux 计算机。 由于 UNIX 和 Linux 计算机不参与管理组所在的 Active Directory 域,因此使用上面讨论的相互身份验证的证书方法的变化类型。
与 UNIX 和 Linux 计算机建立相互身份验证
你将使用“发现”向导来查找 UNIX 和 Linux 计算机并将其添加到管理组作为托管对象。 在“发现”向导过程中,Operations Manager 使发现的 UNIX 和 Linux 计算机生成一个自签名证书,该证书用来与管理服务器进行相互身份验证。 启用 SSH 发现后,证书生成、签名和交换过程工作如下:
管理服务器上的“发现”向导过程使发现的 UNIX 或 Linux 计算机生成一个自签名证书。
发现管理服务器向 UNIX 或 Linux 计算机发出获取证书请求。
UNIX 或 Linux 计算机将证书返回到管理服务器
发现管理服务器创建密钥对及其自己的自签名证书。 管理服务器只在发现其第一个 UNIX 或 Linux 计算机后生成密钥对和自签名证书。 然后管理服务器将其自己的证书导入其受信任的证书存储中。 之后发现管理服务器使用其私钥签名 UNIX 或 Linux 证书。 管理服务器将重复使用第一次签名后生成的该管理服务器的私钥进行后续的 UNIX 或 Linux 计算机证书签名。
发现管理服务器之后发出放回证书请求,从而将现在的管理服务器自签名的证书放回到最初生成该证书的 UNIX 或 Linux 计算机。 之后 UNIX 或 Linux 计算机 WSMAN 通信层重新启动以激活 UNIX\Linux 计算机新生成的证书。
现在如果管理服务器请求 UNIX 或 Linux 计算机对其自身进行身份验证,UNIX 或 Linux 计算机将向管理服务器提供受信任的证书,管理服务器将读取证书上显示的签名以确定是否信任该签名(由于签名是存储在其受信任证书存储中的私钥)并接受该证书作为 UNIX 或 LINUX 计算机是管理服务器所认为的对象的证明。
发现管理服务器将使用合适的运行方式配置文件中配置的 UNIX 或 Linux 凭据向 UNIX 或 Linux 计算机验证其自己。 有关详细信息,请参阅UNIX 或 Linux 运行方式配置文件的计划部分。
| 重要事项 |
|---|
操作的前后顺序针对低安全版本的 UNIX 或 Linux 发现。 |
UNIX 或 Linux 运行方式配置文件的计划
在 UNIX 或 Linux 计算机由发现管理服务器管理后,管理包发现和工作流开始运行。 这些工作流需要使用凭据来成功完成。 这些凭据、其应用的对象、类或组以及其将被分发到的计算机都包含在运行方式配置文件中。 在将 UNIX 管理包导入管理组时有两个运行方式配置文件被导入,分别是:
Unix 操作帐户配置文件 – 此运行方式配置文件及其关联的 UNIX 或 Linux 凭据用于指定的 UNIX 或 Linux 计算机上的低安全性活动。
Unix 特权帐户配置文件 – 此运行方式配置文件及其关联的 UNIX 或 Linux 凭据用于受到较高级别安全保护的活动,因此需要对 UNIX 或 Linux 计算机具有较高特权的帐户。 该帐户可以是(但不必须是)根帐户。
你需要使用合适的 UNIX 或 Linux 计算机凭据配置这些配置文件,以便使用这些凭据的管理包工作流正常工作。
帐户和组
在 Operations Manager 部署的生存期内,你可能需要许多帐户和安全组。 在 Operations Manager 安装过程中,系统只会提示你四次。 你在计划基于角色的安全分配、通知和运行进程的备用凭据时需要考虑其他帐户。 有关规划基于角色的安全分配的指导,请参阅规划 System Center 2012 - Operations Manager 部署。
基于角色的安全帐户和组
Operations Manager 通过将用户帐户分配到角色来控制对监视的组、任务、视图和管理功能的访问。Operations Manager 中的角色是配置文件类型(操作员、高级操作员、管理员)和作用域(角色访问的数据)的组合。 通常,Active Directory 安全组分配到角色,然后单个帐户分配到那些组。 在部署前,请计划可以添加到这些角色和自定义创建的角色的 Active Directory 安全组,这样你之后可以将单个用户帐户添加到安全组。
Operations Manager 提供以下的初始角色定义。
角色名称 |
配置文件类型 |
配置文件描述 |
角色作用域 |
|---|---|---|---|
Operations Manager 管理员:安装时创建;无法删除;必须包含一个或多个通用组 |
管理员 |
拥有对 Operations Manager 的全部特权;不支持管理员配置文件的作用域 |
对所有 Operations Manager 数据、服务、管理和创作工具具有完全访问权限 |
Operations Manager 高级操作员:安装时创建;全局划分作用域;无法删除 |
高级操作员 |
对 Operations Manager 配置具有有限的更改访问权限;能够创建规则替代;配置的作用域内的目标或目标组的监视器。 |
对所有组、视图和当前存在以及将来要导入的任务具有访问权限 |
Operations Manager 作者:安装时创建;全局划分作用域;无法删除 |
作者 |
能够创建、编辑和删除配置的作用域内的任务、规则、监视器以及视图 |
对所有组、视图和当前存在以及将来要导入的任务具有访问权限 |
Operations Manager 操作员:安装时创建;全局划分作用域;无法删除 |
运算符 |
能够根据其配置的作用域与警报交互、运行任务以及访问视图 |
对所有组、视图和当前存在以及将来要导入的任务具有访问权限 |
Operations Manager 只读操作员:安装时创建;全局划分作用域;无法删除 |
只读操作员 |
能够根据配置的作用域查看警报和访问视图 |
对所有组以及当前存在和将来要导入的视图具有访问权限 |
Operations Manager 报表操作员:安装时创建;全局划分作用域 |
报表操作员 |
能够根据配置的作用域查看报表 |
全局划分作用域 |
Operations Manager 报表安全管理员:将 SQL Server Reporting Services 安全与 Operations Manager 用户角色集成;授予 Operations Manager 管理员控制对报表访问的功能;无法划分作用域 |
报表安全管理员 |
启用 SQL Server Reporting Services 安全与 Operations Manager 角色的集成 |
无作用域 |
你可以将 Active Directory 安全组或单个帐户添加到任一预定义角色中。 操作后,那些单个帐户就能够在划分作用域的对象中使用授予的角色权限。
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
预定义角色在全局划分作用域,从而授予这些角色对所有组、视图和任务的访问权限(报表安全管理员除外)。 |
Operations Manager 还允许你基于操作员、只读操作员、作者和高级操作员配置文件创建自定义角色。 创建角色后,你可以进一步缩小该角色可以访问的组、任务和视图的作用域。 例如,你可以创建标题为“Exchange 操作员”的角色并将作用域缩小为仅 Exchange 相关组、视图和任务。 分配到该角色的用户帐户将只能在 Exchange 相关对象上运行操作员级别操作。
通知帐户和组
公司中的单个用户将与 Operations Manager 频繁交互,例如分配到 Exchange 操作员角色的 Exchange 管理员需要一个发现新警报的方法。 为此,可以观察操作控制台是否有新警报或由 Operations Manager 通过支持的通信通道来通知他们警报情况。Operations Manager 支持通过电子邮件、即时消息、短消息服务或寻呼机消息方式进行通知。 关于该角色需要了解的内容的通知发送到你在 Operations Manager 中指定的收件人。Operations Manager 收件人仅仅是一个拥有有效地址来接收通知的对象,例如电子邮件通知的 SMTP 地址。
因此,逻辑上可以通过启用电子邮件的安全组将角色分配与通知组成员身份合并。 例如,创建 Exchange 管理员安全组并使用具有纠正 Exchange 中问题的知识和权限的单个用户来填充。 将该安全组分配到自定义创建的 Exchange 管理员角色,这样他们就有权限访问数据并且成为启用了电子邮件的用户。 然后,使用启用了电子邮件的安全组的 SMTP 地址来创建收件人。
服务帐户
部署时,你需要准备好以下服务帐户。 如果使用域帐户且域组策略对象 (GPO) 的默认密码过期策略已设置为所需值,你需要根据计划更改服务帐户的密码,或使用低维护系统帐户,或配置帐户让密码永远不过期。
帐户名称 |
请求时间 |
用途 |
低维护 |
高安全性 |
|---|---|---|---|---|
管理服务器操作帐户 |
管理服务器安装程序 |
收集提供程序的数据,正在运行响应 |
本地系统 |
低特权域帐户 |
数据访问服务和配置服务帐户 |
管理服务器安装程序 |
写入操作数据库,正在运行服务 |
本地系统 |
低特权域帐户 |
目标设备的本地管理员帐户 |
发现和强制代理安装 |
安装代理 |
域或本地管理员帐户 |
域或本地管理员帐户 |
代理操作帐户 |
发现和强制代理安装 |
正在收集托管计算机上的信息以及正在运行响应 |
本地系统 |
低特权域帐户 |
数据仓库写入操作帐户 |
报表服务器安装程序 |
写入报表数据仓库数据库 |
低特权域帐户 |
低特权域帐户 |
数据读取器帐户 |
报表服务器安装程序 |
查询 SQL Reporting Services 数据库 |
低特权域帐户 |
低特权域帐户 |
服务主体名称
如果部署 Operations Manager,你可能需要在某些配置中注册服务主体名称 (SPN)。 Kerberos 身份验证使用 SPN,以便客户端与服务器相互进行身份验证。 有关详细信息,请参阅 What Are Service Publication and Service Principal Names?(服务发布和服务主体名称是什么?)。
当安装 Operations Manager 时,请选择“System Center Configuration 服务”和“System Center Data Access 服务”的帐户。 有关详细信息,请参阅 部署 System Center 2012 - Operations Manager。
.jpeg "System_CAPS_caution"){kind=icon} 小心 |
|---|
请不要修改默认的 Active Directory 权限以允许帐户对其自己的 SPN 执行无限制的修改。 |
如果你选择本地系统作为 System Center Data Access 服务帐户,则帐户可以创建合适的 SPN。 不需要附加配置。
如果你使用域帐户,则必须为每个管理服务器注册一个 SPN。 使用 SETSPN 命令行工具。 有关运行该工具的详细信息,请参阅 Setspn Overview(Setspn 概述)。
使用以下语法注册管理服务器的 netbios 名称和完全限定的域名:
setspn –a MSOMSdkSvc/<netbios name> <DAS account domain>\<DAS account name>
setspn –a MSOMSdkSvc/<fqdn> <DAS account domain>\<DAS account name>
.jpeg "System_CAPS_tip") 提示 |
|---|
你可以使用以下语法列出向用户帐户或计算机注册的 SPN: setspn –l <DAS account name> setspn –l <fqdn> |
如果正在使用网络负载平衡或硬件负载平衡器,则必须用域帐户运行 System Center Data Access 服务。 除了已经描述的设置之外,还必须使用以下语法注册负载平衡名称:
setspn –a MSOMSdkSvc/<load balanced name> <DAS account domain>\<DAS account name>
| 注意 |
|---|
必须用相同的域帐户运行在负载平衡器后面运行的所有 System Center Data Access 服务。 |
运行方式帐户
受监视的计算机上的代理可以根据需求和对预定义条件的响应来运行任务、模块和监视器。 默认情况下,所有任务使用代理操作帐户凭据运行。 在某些情况下,代理操作帐户可能没有足够的权限和特权,因此无法在计算机上运行指定的操作。Operations Manager 支持代理在一组名为“运行方式帐户”的替代凭据的上下文中运行任务。 与收件人一样,运行方式帐户是在 Operations Manager 中创建的对象,映射到 Active Directory 用户帐户。 然后使用将运行方式帐户映射到特定计算机的运行方式配置文件。 如果在开发管理包时需要在目标计算机上运行已与运行方式配置文件关联的规则、任务或监视器,那么使用特定的运行方式帐户也是如此。
在初始状态下,Operations Manager 提供多个运行方式帐户和运行方式配置文件,必要时你可以创建其他的运行方式帐户和运行方式配置文件。 你也可以选择修改与运行方式帐户关联的 Active Directory 凭据。 为此,你将需要计划、创建和维护其他的 Active Directory 凭据。 从密码过期、Active Directory 域服务、位置和安全性角度,你应视这些帐户为服务帐户。
你需要与管理包作者一起开发运行方式帐户申请。 有关详细信息,请参阅 Index to Security-related Information for Operations Manager(Operations Manager 的安全相关信息的索引)。